マルバタイジング

ウェブサイトやウェブパブリッシャーが、破損した、あるいは悪意のある広告をページに組み込むと、訪問者のコンピューターはクリック前（pre-click）およびクリック後（post-click）に感染する可能性がある。感染は訪問者がマルバタイジングをクリックし始めたときにのみ発生するというのは誤りである。

クリック前マルウェアの例としては、ページのメインスクリプトへの埋め込みやドライブバイダウンロードなどがある。マルウェアは自動実行（auto-run）されることもあり、自動リダイレクト（auto redirects）のケースでは、ユーザーは（クリックなどの操作なしに）自動的に別のサイトに飛ばされる。そのサイトが悪意のあるものである可能性がある。

マルウェアは広告の配信過程で見つかることもある。つまり、（構築や設計において）クリック前にもクリック後にもマルウェアを含まないクリーンな広告であっても、呼び出される際に感染する可能性がある^[7] 。悪意のあるコードは検出されずに潜むことができ、ユーザーは自分に何が迫っているのかを知る由もない。クリック後のマルバタイジングの例としては、「ユーザーが広告をクリックして広告対象のサイトを訪問しようとすると、代わりに直接感染するか、悪意のあるサイトにリダイレクトされる。これらのサイトは、通常はウェブ上で非常に一般的なFlashファイルに偽装したウイルスやスパイウェアをユーザーにコピーさせようと騙す」といったものがある^[8] 。リダイレクションはオンライン広告に組み込まれていることが多く、ユーザーは広告をクリックするとリダイレクトが発生することを期待しているため、この種のマルウェア拡散は成功しやすい。発生するリダイレクションを乗っ取るだけで、ユーザーのコンピューターを感染させることができるのである^[1]。

マルバタイジングは、デジタル広告チェーンのあらゆる部分に異なる影響を与える。プラットフォームからパブリッシャー、そしてマルバタイジング攻撃の被害者となった可能性のあるエンドユーザーに至るまで、誰もが影響を受ける^[9] 。マルバタイジングは、信頼できる企業を悪用することが多い。マルウェアを拡散させようとする者は、まず信頼できるサイトに「クリーンな」広告を掲載して良い評判を得た後、「広告の背後にあるコードにウイルスやスパイウェアを挿入し、大規模なウイルス感染が発生した後、ウイルスを除去する」。これにより、その期間中にサイトを訪れたすべての訪問者を感染させる。「広告ネットワークのインフラは非常に複雑で、広告とクリックスルー先との間に多くのリンク接続がある」ため、責任者の身元を追跡することは困難な場合が多く、攻撃を未然に防いだり、完全に停止させたりすることを難しくしている^[8]。

マルバタイジングの中には、ユーザーが（正常に見える）広告を決してクリックしなくても、脆弱なコンピューターを感染させることができるものがある^[10]。

Summarize Timeline Fact Check

マルバタイジングが最初に記録されたのは2007年後半から2008年初頭にかけてである。この脅威はAdobe Flashの脆弱性（2010年代後半まで続いた問題^[11]）に基づくもので、MySpace、Excite、Rhapsodyなど多くのプラットフォームに影響を与えた。2009年、『ニューヨーク・タイムズ・マガジン』のオンライン版が、より大規模なクリック詐欺（Bahamaボットネットと呼ばれるマルウェア感染コンピューターのボットネットネットワークを構築し、ウェブ上のペイ・パー・クリック広告に対するクリック詐欺を実行するために使用された）の一部である広告を配信していたことが判明した。『ニューヨーク・タイムズ』のバナーフィードが9月11日から14日の週末にかけてハッキングされ、一部の読者にはシステムが感染していると告げ、不正なセキュリティソフトをコンピューターにインストールさせようと騙す広告が表示された。広報担当のダイアン・マクナルティによると、「犯人は全国的な広告主として同紙に接触し、1週間にわたり一見正当な広告を提供していた」が、その後、広告はウイルス警告のマルバタイジングに切り替えられた。『ニューヨーク・タイムズ』はその後、この問題に対処するためにサードパーティの広告を停止し、この問題に関する読者へのアドバイスを技術ブログに掲載さえした^[12]。

2010年、マルバタイジングは本格的に広まった。マーケティングアナリストのClickZ^[13]は、Online Trust Alliance（OTA）が3500のサイトにわたり、マルウェアを運ぶ数十億のディスプレイ広告を特定したと指摘した。同年、Online Trust Alliance^[14]は、業界横断的なマルバタイジング対策タスクフォースを結成した。

2011年、SpotifyがBlackhole exploit kitを使用したマルバタイジング攻撃を受けた。これは、ユーザーが広告をクリックしなくてもマルウェアに感染するドライブバイダウンロードの最初の事例の1つであった。

2012年、シマンテックは「インターネットセキュリティ脅威レポート2013」にマルバタイジングのセクションを追加した。^[15] シマンテックは一連のウェブサイトでスキャンソフトウェアを使用し、その半数がマルバタイジングに感染していることを検出した。

2012年、『ロサンゼルス・タイムズ』がBlackhole exploit kitを使用してユーザーに感染させる大規模なマルバタイジング攻撃を受けた。これは大手ニュースポータルを標的とするマルバタイジングの全般的なキャンペーンの一部と見なされ、この戦略はその後もhuffingtonpost.comや『ニューヨーク・タイムズ』への攻撃へと続いた。

2013年、マルバタイジングの脅威はなおも続き、月間69億のアクセスがある最大の広告プラットフォームの1つであるYahoo!に対して、大規模なマルバタイジングキャンペーンが仕掛けられた。このマルウェアエクスプロイトは、一般的に使用されるウェブ攻撃であるクロスサイトスクリプティング（XSS）に基づいていた。これは、Open Web Application Security Project^[16]（OWASP）が特定したウェブ攻撃タイプトップ10の第3位である。この攻撃は、ユーザーのコンピューターをランサムウェア「Cryptowall」に感染させた。これは、ユーザーのデータを暗号化し、データを復号するために7日以内に最大1000ドル相当のビットコインの身代金を支払うよう要求して金銭を脅し取るマルウェアの一種である。

2014年には、DoubleClickおよびZedoの広告ネットワークで大規模なマルバタイジングキャンペーンが発生した。『タイムズ・オブ・イスラエル』や『ヒンドゥスタン・タイムズ』を含む様々なニュースポータルが影響を受けた。以前の攻撃と同様、このサイバー犯罪にはマルウェア感染としてCryptowallが関与していた。この一連のマルバタイジングにより、60万台以上のコンピューターが感染し、100万ドル以上の身代金がもたらされたと考えられている。^[17]

マカフィーの2015年2月の脅威レポートによると、マルバタイジングは2014年後半から2015年初頭にかけて、モバイルプラットフォームで急速に増加し始めていた。^[18] 2015年には、eBay、Answers.com、talktalk.co.uk、wowhead.comなどでマルバタイジングキャンペーンが発生した。このキャンペーンには、DoubleClickやengage:BDRなどの広告ネットワークの侵害が含まれていた。また、親ロシア派の活動家による、おそらく史上初の「政治的マルバタイジング」キャンペーンの報告もあった。これはボットネットに基づくもので、ユーザーのコンピューターを偽のサイトに強制的に訪問させ、活動家のための広告収入を生み出していた。ユーザーはまた、いくつかの親ロシア的なプロパガンダビデオに行き着くことにもなった^[19]。

2021年、ランサムウェア集団REvilが、Google検索結果の有料掲載枠（paid positioning）を利用して、被害者に悪意のあるファイルを配信しているのが観察された^[20] 。YouTuberのMrBeastやイーロン・マスクなどの人気人物になりすました攻撃者による、現金や暗号資産のプレゼントキャンペーンと称するマルバタイジングが、多くの広告プラットフォームやソーシャルメディアサイトで見られている^[21][22] 。

2022年には、Google検索上のネイティブ広告が、様々なソフトウェア（多くの場合オープンソースソフトウェア）のダウンロードページになりすまし、ユーザーをランサムウェアや情報窃取型マルウェア（info stealer）のダウンロードに誘導したり、テクニカルサポート詐欺にリダイレクトしたりする事例が報告された^[23][24][25]。

Horoscope.com、『ニューヨーク・タイムズ』^[26]、ロンドン証券取引所、Spotify、『ジ・オニオン』など、いくつかの人気ウェブサイトやニュースソースがマルバタイジングの被害に遭い、気付かないうちに悪意のある広告をウェブページやウィジェットに掲載させられている^[5]。

マルバタイジングの影響を受けているウェブサイトを訪問することにより、ユーザーは感染のリスクに晒される。悪意のある広告やプログラムをウェブページに注入するために使用される手口は様々である。

• ポップアップ広告：コンピューターにマルウェアをインストールする偽のウイルス対策プログラムなど、欺瞞的なダウンロードを促すポップアップ広告^[2]。
• ハイパーリンクの改ざん：インテキスト広告やインコンテンツ広告では、コンテンツに関連する悪意のあるハイパーリンクを含むようにテキストが改変されることがある^[27]   。
• ドライブバイダウンロード^[2]：ユーザーがウェブサイトを訪問した際に、ユーザーの同意なしに悪意のあるファイルがダウンロードされる活動^[28]
• Webウィジェット：リダイレクションが乗っ取られ、悪意のあるサイトにリダイレクトさせられることがある^[29]
• 隠しiframe：マルウェアを拡散させる隠しiframe^[29]。
• CDN：マルウェアを共有するために悪用されるコンテンツデリバリネットワーク^[29]
• バナー：ウェブサイト上の悪意のあるバナー^[29]
• サードパーティ広告：ウェブページ上のサードパーティ広告^[30]
• サードパーティ製アプリケーション：フォーラム、ヘルプデスク、顧客関係管理（CRM）、コンテンツ管理システム（CMS）などのサードパーティ製アプリケーション^[30]
• モバイル広告：SMSプロモーションを通じたモバイル広告^[31]

これらの広告に騙される可能性を減らすために、人々が講じることができる予防策がいくつかある。Adobe Flash PlayerやAdobe Readerなど一般的に使用されるプログラムは、その欠陥が悪用されて攻撃に対して脆弱になる可能性があり、またそうなってきたため、もはや使用すべきではない。ユーザーはまた、脅威から保護し、システムからマルウェアを除去するウイルス対策ソフトウェアをダウンロードすることもできる。ユーザーはまた、企業やウェブサイトに対し、広告をウェブページで有効にする前にスキャンするよう働きかけることもできる。^[2] ユーザーはまた、広告ブロックソフトウェアを使用して広告に含まれるマルウェアのダウンロードを回避したり^[32]、マルバタイジングキャンペーンを警告する特定のブラウザ拡張機能を使用したりすることもできる^[33]。